Главная » Восстановление » Поиск скрытых данных в незаполненной области файла
Поиск скрытых данных в незаполненной области файла

Поиск скрытых данных в незаполненной области файла

Думаю все наши посетители уже слышали о стеганографии — способе скрыть передачу данных, добавив их в легитимный файл либо записав эту информацию в память, занимаемую легитимным файлом (с текстом, музыкой или картинкой), без нарушения работоспособности последнего.

Стеганография, о которой мы уже не раз писали очень надежный способ передачи секретной информации. А если исходную информацию еще и зашифровать, то восстановить ее будет очень затруднительно.Но речь пойдет не о сокрытии информации в файле, а о том как эту самую информацию найти.

Еще по теме: Создание дампа памяти всех процессов Windows

Поиск скрытых данных в незаполненной области файла

Для выполнения сегодняшнего форензик кейса нам понадобится утилита bmap-tools, здесь можете почитать по ней дополнительную информацию. В моем дистрибутиве предустановленной версии bmap не оказалось, поэтому придется поставить ее ручками. Как и в прошлый раз, первым делом открываем терминал в BackTrack и пишем следующие команды:

После создания директории открываем любой браузер и по приведенной ссылке скачиваем архив с утилитой.

BMAP Tools
Сохраняем bmap-1.0.17.tar.gz на свою машину

Снова в терминал, где пишем следующее:

BMAP Tools
Результаты распаковки скачанного архива

Теперь наша утилита готова скомпилироваться в бинарный файл, для чего выполняем команды

Запуск bmap:

BMAP
Запуск bmap в терминале

Переходим к созданию текстового файла, в который будем прятать наше «секретное сообщение»:

BMAP
Создание исходного test.txt
Создаем «неразмеченную область» внутри нашего исходного файла test.txt:

BMAP утилита
Создаем «неразмеченную область внутри test.txt

Добавляем наше «секретное сообщение»:

Поиск скрытых данных в незаполненной области файла
Добавляем наше «секретное сообщение» в test.txt

Обратите внимание: изменился только размер пространства, занимаемого данным файлом на диске, — внутри же самого файла ничего не изменилось.

Делаем бэк на терминал и проводим эксперимент:

Что в итоге? Наш файл был удален, но секретное сообщение осталось, поскольку при стирании были зачищены только сектора диска, занимаемые номинальным файлом. После того как мы вызвали команду

в терминале появилась строка нашего сообщения, скрытого в неразмеченной области.

Поиск скрытых данных в незаполненной области файла
Секретное сообщение выжило после удаления файла

На этом все. В этом форензик кейсе мы познакомились с утилитой bmap и узнали про поиск скрытых данных в незаполненной области файла. Надеюсь данный кейс поможет вам освоить форензику. Удачи!

Еще по теме: Дистрибутивы для форензики

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *